ProHoster > Blog > Administratioun > Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter

Ech hunn dës Iwwerpréiwung geschriwwen (oder, wann Dir et virzitt, e Verglachguide) wann ech d'Aufgab krut fir verschidden Apparater vu verschiddene Verkeefer ze vergläichen. Zousätzlech, gehéieren dës Apparater zu verschiddene Klassen. Ech hu missen d'Architektur an d'Charakteristike vun all dësen Apparater verstoen an e "Koordinatesystem" fir de Verglach erstellen. Ech wäert frou sinn wann meng Bewäertung engem hëlleft:

  • Verstinn d'Beschreiwungen an d'Spezifikatioune vu Verschlësselungsapparater
  • Ënnerscheet "Pabeier" Charakteristiken vun deenen, déi wierklech wichteg sinn am richtege Liewen
  • Gitt iwwer déi üblech Set vu Verkeefer a berécksiichtegt all Produkter déi gëeegent sinn fir de Problem ze léisen
  • Stellt déi richteg Froen während Verhandlungen
  • Ausschreiwungsfuerderunge (RFP) opstellen
  • Verstinn wéi eng Charakteristike musse geaffert ginn wann e bestëmmten Apparatmodell ausgewielt gëtt

Wat kann bewäert ginn

Am Prinzip ass d'Approche applicabel fir all Standalone Geräter, déi gëeegent sinn fir den Netzverkéier tëscht Fern-Ethernet Segmenter ze verschlësselen (Cross-Site Verschlësselung). Dat heescht, "Këschten" an engem getrennten Fall (okay, mir wäerten och Blades / Moduler fir de Chassis hei enthalen), déi iwwer een oder méi Ethernet Ports un de lokalen (Campus) Ethernet Netzwierk mat onverschlësselte Verkéier verbonne sinn, an duerch en aneren Hafen (en) zum Kanal / Netzwierk, duerch dee scho verschlësselte Verkéier op aner Fernsegmenter iwwerdroen gëtt. Sou eng Verschlësselungsléisung kann an engem privaten oder Bedreiwernetz duerch verschidden Aarte vu "Transport" agesat ginn (donkel Faser, Frequenzdeelungsausrüstung, geschaltet Ethernet, souwéi "Pseudowires" geluecht duerch e Netzwierk mat enger anerer Routingarchitektur, meeschtens MPLS ), mat oder ouni VPN Technologie.

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter
Reseau Verschlësselung an engem verdeelt Ethernet Reseau

D'Apparater selwer kënnen entweder sinn spezialiséiert (exklusiv fir Verschlësselung geduecht), oder multifunktionell (hybrid, konvergent), dat heescht och aner Funktiounen ausféieren (zum Beispill eng Firewall oder Router). Verschidde Verkeefer klassifizéieren hir Apparater a verschidde Klassen/Kategorien, awer dëst ass egal - déi eenzeg wichteg Saach ass ob se de Cross-Site Traffic verschlëssele kënnen, a wéi eng Charakteristiken se hunn.

Just am Fall erënneren ech Iech datt "Netzverschlësselung", "Verkéiersverschlësselung", "Verschlësselung" informell Begrëffer sinn, obwuel se dacks benotzt ginn. Dir wäert se héchstwahrscheinlech net a russesche Reglementer fannen (och déi, déi GOSTs aféieren).

Verschlësselungsniveauen an Iwwerdroungsmodi

Ier mer ufänken d'Charakteristiken selwer ze beschreiwen, déi fir d'Evaluatioun benotzt ginn, musse mir als éischt eng wichteg Saach verstoen, nämlech de "Verschlësselungsniveau". Ech hu gemierkt datt et dacks souwuel an offiziellen Verkeeferdokumenter (a Beschreiwungen, Handbuch, asw.) an an informellen Diskussiounen (bei Verhandlungen, Trainingen) ernimmt gëtt. Dat ass, jidderee schéngt ganz gutt ze wëssen iwwer wat mir schwätzen, awer ech hunn perséinlech duerchernee gesinn.

Also wat ass en "Verschlësselungsniveau"? Et ass kloer datt mir iwwer d'Zuel vun der OSI / ISO Referenz Netzwierkmodell Schicht schwätzen, bei där d'Verschlësselung geschitt. Mir liesen GOST R ISO 7498-2-99 "Informatiounstechnologie. Interconnection vun oppene Systemer. Basis Referenz Modell. Deel 2. Informatiounssécherheetsarchitektur." Aus dësem Dokument kann et verstane ginn datt den Niveau vum Vertraulechkeetsservice (ee vun de Mechanismen fir d'Verschlësselung ze liwweren) den Niveau vum Protokoll ass, de Servicedatenblock ("Payload", Benotzerdaten) vun deem verschlësselt ass. Wéi et och am Standard geschriwwen ass, kann de Service souwuel um selwechten Niveau, "eleng" a mat der Hëllef vun engem nidderegen Niveau geliwwert ginn (dëst ass wéi et zum Beispill am meeschten am MACsec ëmgesat gëtt) .

An der Praxis sinn zwee Modi fir verschlësselte Informatioun iwwer en Netz ze vermëttelen méiglech (IPsec kënnt direkt an de Kapp, awer déiselwecht Modi ginn och an anere Protokoller fonnt). IN Transport (heiansdo och gebierteg genannt) Modus ass nëmmen verschlësselte Service Block vun Donnéeën, an d'Header bleiwen "oppen", onverschlësselt (heiansdo ginn zousätzlech Felder mat Serviceinformatioun vum Verschlësselungsalgorithmus bäigefüügt, an aner Felder ginn geännert an nei berechent). IN Tunnel selwechte Modus all Protokoll den Dateblock (dat heescht de Pak selwer) ass verschlësselt an an engem Servicedatenblock vum selwechten oder méi héije Niveau verschlësselt, dat heescht, et ass vun neie Header ëmginn.

D'Verschlësselungsniveau selwer a Kombinatioun mat e puer Iwwerdroungsmodus ass weder gutt nach schlecht, also kann et net gesot ginn, zum Beispill, datt L3 am Transportmodus besser ass wéi L2 am Tunnelmodus. Et ass just datt vill vun de Charakteristiken, mat deenen d'Apparater bewäert ginn, dovun ofhänken. Zum Beispill, Flexibilitéit a Kompatibilitéit. Fir an engem Netzwierk L1 (Bit Stream Relais), L2 (Frame Switching) a L3 (Packet Routing) am Transportmodus ze schaffen, braucht Dir Léisungen déi um selwechten oder méi héije Niveau verschlësselen (soss gëtt d'Adressinformatioun verschlësselt an d'Donnéeën verschlësselen net seng geplangten Destinatioun erreechen), an den Tunnelmodus iwwerwannt dës Begrenzung (obwuel aner wichteg Charakteristiken opferen).

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter
Transport an Tunnel L2 Verschlësselungsmodi

Loosst eis elo weidergoen fir d'Charakteristiken ze analyséieren.

Produktivitéit

Fir Netzwierkverschlësselung ass d'Performance e komplext, multidimensional Konzept. Et geschitt datt e bestëmmte Modell, wärend an enger Leeschtungscharakteristik superior ass, an engem aneren schlëmm ass. Dofir ass et ëmmer nëtzlech fir all d'Komponente vun der Verschlësselungsleistung an hiren Impakt op d'Leeschtung vum Netz an d'Applikatiounen ze berücksichtegen déi et benotzen. Hei kënne mir eng Analogie mat engem Auto zéien, fir déi net nëmme maximal Geschwindegkeet wichteg ass, awer och Beschleunigungszäit op "honnerte", Dreifstoffverbrauch, asw. Verkeeferfirmen an hir potenziell Clientë bezuelen grouss Opmierksamkeet op d'Performancecharakteristiken. Als Regel, sinn Verschlësselungsapparater klasséiert baséiert op Leeschtung an Verkeefer Linnen.

Et ass kloer datt d'Performance hänkt souwuel vun der Komplexitéit vun der Vernetzung a vun der kryptographescher Operatioun op dem Apparat of (och wéi gutt dës Aufgaben paralleliséiert a pipelined kënne ginn), wéi och vun der Leeschtung vun der Hardware an der Qualitéit vun der Firmware. Dofir benotzen eeler Modeller méi produktiv Hardware; heiansdo ass et méiglech et mat zousätzleche Prozessoren an Erënnerungsmoduler ze equipéieren. Et gi verschidde Approche fir kryptografesch Funktiounen ëmzesetzen: op enger allgemeng Zweck Zentralveraarbechtungseenheet (CPU), Applikatiounsspezifesch integréierte Circuit (ASIC) oder Feldprogramméierbar Logik Integréiert Circuit (FPGA). All Approche huet seng Virdeeler an Nodeeler. Zum Beispill kann d'CPU e Verschlësselungskäschte ginn, besonnesch wann de Prozessor keng spezialiséiert Instruktiounen huet fir de Verschlësselungsalgorithmus z'ënnerstëtzen (oder wann se net benotzt ginn). Spezialiséiert Chips feelen Flexibilitéit; et ass net ëmmer méiglech se ze "reflash" fir d'Performance ze verbesseren, nei Funktiounen ze addéieren oder Schwachstelle ze eliminéieren. Zousätzlech gëtt hir Notzung nëmme mat grousse Produktiounsvolumen rentabel. Dofir ass de "gëllene Mëttelpunkt" sou populär ginn - d'Benotzung vun FPGA (FPGA op Russesch). Et ass op FPGAs datt déi sougenannte Krypto Beschleuniger gemaach ginn - agebaut oder Plug-in spezialiséiert Hardware Moduler fir Kryptografesch Operatiounen z'ënnerstëtzen.

Well mir schwätzen iwwer Reseau Verschlësselung ass et logesch datt d'Leeschtung vu Léisungen an de selwechte Quantitéite gemooss gëtt wéi fir aner Netzwierkapparater - Duerchgang, Prozentsaz vum Frameverloscht an Latenz. Dës Wäerter sinn am RFC 1242 definéiert. Iwwregens gëtt näischt iwwer déi dacks ernimmt Verzögerungsvariatioun (Jitter) an dësem RFC geschriwwen. Wéi dës Quantitéiten ze moossen? Ech hu keng Methodik fonnt, déi an all Standards (offiziell oder inoffiziell wéi RFC) genehmegt ass, speziell fir Netzwierkverschlësselung. Et wier logesch, d'Methodologie fir Netzwierkapparater ze benotzen, déi am Standard RFC 2544. Vill Ubidder verfollegen et - vill, awer net all. Zum Beispill schécken se Testverkéier an nëmmen eng Richtung amplaz béid, wéi recommandéiert Standard. Jiddefalls.

D'Messung vun der Leeschtung vun Netzwierkverschlësselungsapparater huet nach ëmmer seng eege Charakteristiken. Als éischt ass et richteg fir all Miessunge fir e Paar Apparater auszeféieren: obwuel d'Verschlësselungsalgorithmen symmetresch sinn, Verspéidungen a Paketverloschter wärend der Verschlësselung an der Entschlësselung wäerten net onbedéngt gläich sinn. Zweetens ass et Sënn fir den Delta ze moossen, den Impakt vun der Netzverschlësselung op déi lescht Netzwierkleistung, vergläicht zwou Konfiguratiounen: ouni Verschlësselungsapparater a mat hinnen. Oder, wéi de Fall mat Hybrid Geräter, déi verschidde Funktiounen nieft der Netzverschlësselung kombinéieren, mat Verschlësselung ausgeschalt an un. Dësen Afloss kann ënnerschiddlech sinn an hänkt vum Verbindungsschema vun de Verschlësselungsgeräter of, vun den Operatiounsmodi, a schliisslech vun der Natur vum Traffic. Besonnesch vill Leeschtungsparameter hänken vun der Längt vu Paketen of, dofir, fir d'Performance vu verschiddene Léisungen ze vergläichen, ginn d'Grafike vun dëse Parameteren ofhängeg vun der Längt vun de Pakete oft benotzt, oder IMIX gëtt benotzt - d'Verdeelung vum Traffic per Paket Längt, déi ongeféier déi richteg reflektéiert. Wa mir déi selwecht Basiskonfiguratioun ouni Verschlësselung vergläichen, kënne mir Netzwierkverschlësselungsléisungen anescht implementéiert vergläichen ouni an dës Differenzen ze kommen: L2 mat L3, Store-and-Forward ) mat Cut-Through, spezialiséiert mat konvergent, GOST mat AES a sou weider.

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter
Verbindungsdiagramm fir Leeschtungstestung

Déi éischt Charakteristik op déi d'Leit oppassen ass d'"Geschwindegkeet" vum Verschlësselungsapparat, dat heescht bandwidth (Bandbreedung) vu sengen Netzwierkschnëttplazen, Bitflowrate. Et gëtt festgeluecht vun den Netzwierknormen déi vun den Interfaces ënnerstëtzt ginn. Fir Ethernet sinn déi üblech Zuelen 1 Gbps an 10 Gbps. Awer, wéi mir wëssen, an all Netzwierk déi maximal theoretesch Duerchgang (Duerchgang) op jiddereng vun hiren Niveauen gëtt et ëmmer manner Bandbreedung: en Deel vun der Bandbreedung gëtt duerch Interframe-Intervalle, Service-Header, asw. Wann en Apparat fäeg ass ze empfänken, ze veraarbechten (an eisem Fall, Verschlësselung oder Entschlësselung) an de Verkéier mat der voller Geschwindegkeet vun der Netz-Interface ze vermëttelen, dat heescht mat dem maximalen theoreteschen Duerchgang fir dësen Niveau vum Netzmodell, da gëtt gesot schaffen ze sinn bei Linn Vitesse. Fir dëst ze maachen, ass et néideg datt den Apparat keng Pakete vu jidder Gréisst an op all Frequenz verléiert oder ewechgehäit. Wann d'Verschlësselungsapparat d'Operatioun mat der Linngeschwindegkeet net ënnerstëtzt, da gëtt säi maximalen Duerchgang normalerweis an de selwechte Gigabits pro Sekonn spezifizéiert (heiansdo weist d'Längt vun de Päckchen un - wat méi kuerz d'Päckchen, dest méi niddereg ass den Duerchsatz normalerweis). Et ass ganz wichteg ze verstoen datt de maximalen Duerchsatz de Maximum ass kee Verloscht (och wann den Apparat Traffic duerch sech selwer mat enger méi héijer Geschwindegkeet kann "pompelen", awer gläichzäiteg e puer Päck verléieren). Gitt och bewosst datt e puer Ubidder den Total Duerchgang tëscht all Paar Ports moossen, sou datt dës Zuelen net vill bedeiten wann all verschlësselte Verkéier duerch en eenzegen Hafen geet.

Wou ass et besonnesch wichteg mat Linn Vitesse ze bedreiwen (oder, an anere Wierder, ouni Pak Verloscht)? An héich-Bandbreed, héich-latency Linken (wéi Satellit), wou eng grouss TCP Fënster Gréisst muss héich Transmissioun Vitesse ze erhalen, a wou Pak Verloscht dramatesch Reseau Leeschtung reduzéiert.

Awer net all Bandbreed gëtt benotzt fir nëtzlech Daten ze transferéieren. Mir mussen mat der sougenannter Rechnung overhead Käschten (Overhead) Bandbreedung. Dëst ass den Deel vum Verschlësselungsapparat säin Duerchgang (als Prozentsaz oder Bytes pro Paket) deen tatsächlech verschwend gëtt (kann net benotzt ginn fir Uwendungsdaten ze transferéieren). Overhead Käschten entstinn, éischtens, wéinst enger Erhéijung vun der Gréisst (Zousätzlech, "Stuffing") vum Datefeld a verschlësselte Netzwierkpakete (ofhängeg vum Verschlësselungsalgorithmus a sengem Betribsmodus). Zweetens, wéinst der Erhéijung vun der Längt vun de Paket Header (Tunnel Modus, Service Insertion vum Verschlësselungsprotokoll, Simulatioun Aféierung, etc. ofhängeg vum Protokoll a Modus vun Operatioun vum Chiffer an Transmissioun Modus) - normalerweis dës Overhead Käschten sinn der bedeitendsten, a si bezuelen Opmierksamkeet éischt. Drëttens, wéinst der Fragmentatioun vu Pakete wann déi maximal Dateenheetsgréisst (MTU) iwwerschratt ass (wann d'Netzwierk fäeg ass e Paket deen d'MTU iwwerschreift an zwee opzedeelen, seng Header duplizéieren). Véiert, wéinst der Erscheinung vun zousätzleche Service (Kontroll) Verkéier am Netz tëscht Verschlësselungsapparater (fir Schlësselaustausch, Tunnelinstallatioun, etc.). Niddereg Overhead ass wichteg wou Kanalkapazitéit limitéiert ass. Dëst ass besonnesch evident am Traffic vu klenge Päckchen, zum Beispill Stëmm - wou Overheadkäschte méi wéi d'Halschent vun der Kanalgeschwindegkeet "iessen" kënnen!

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter
Duerchgang

Endlech gëtt et méi agefouert Retard - den Ënnerscheed (an Fraktiounen vun enger Sekonn) an der Netzverzögerung (d'Zäit déi et brauch fir Daten ze passéieren vun der Erreechung vum Netz bis se ze verloossen) tëscht Dateniwwerdroung ouni a mat Netzwierkverschlësselung. Am Allgemengen, wat méi niddereg d'Latenz ("Latency") vum Netz ass, dest méi kritesch gëtt d'Latenz, déi duerch Verschlësselungsapparater agefouert gëtt. D'Verzögerung gëtt duerch d'Verschlësselungsoperatioun selwer agefouert (ofhängeg vum Verschlësselungsalgorithmus, Blocklängt an Operatiounsmodus vum Chiffer, wéi och vun der Qualitéit vu senger Ëmsetzung an der Software), an der Veraarbechtung vum Netzwierkpaket am Apparat . D'Latenz agefouert hänkt souwuel vum Paketveraarbechtungsmodus (Pass-Through oder Store-and-Forward) an der Leeschtung vun der Plattform (Hardwareimplementatioun op enger FPGA oder ASIC ass allgemeng méi séier wéi Softwareimplementatioun op enger CPU). L2 Verschlësselung huet bal ëmmer manner latency wéi L3 oder L4 Verschlësselung, wéinst der Tatsaach, datt L3 / L4 Verschlësselungsapparater dacks konvergéiert sinn. Zum Beispill, mat High-Speed-Ethernet-Encryptoren, déi op FPGAs implementéiert sinn an op L2 verschlësselen, ass d'Verzögerung wéinst der Verschlësselungsoperatioun verschwonnen kleng - heiansdo wann d'Verschlësselung op e Paar Apparater aktivéiert ass, gëtt d'total Verzögerung, déi vun hinnen agefouert gëtt, souguer erof! Niddereg Latenz ass wichteg wou et vergläichbar ass mat allgemenge Kanalverzögerungen, inklusiv Ausbreedungsverzögerung, wat ongeféier 5 μs pro Kilometer ass. Dat ass, mir kënne soen datt fir urban-Skala Netzwierker (Zénger vu Kilometer iwwer), Mikrosekonnen vill entscheeden. Zum Beispill, fir synchron Datebank Replikatioun, héich-Frequenz Handel, déi selwecht Blockchain.

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter
Agefouert Retard

Skalierbarkeet

Grouss verdeelt Netzwierker kënne vill Dausende vu Wirbelen an Netzwierkapparater enthalen, Honnerte vu lokalen Netzwierksegmenter. Et ass wichteg datt Verschlësselungsléisungen keng zousätzlech Restriktiounen op d'Gréisst an d'Topologie vum verdeelte Netzwierk opsetzen. Dëst gëllt haaptsächlech fir déi maximal Unzuel vun Host- an Netzwierkadressen. Esou Aschränkungen kënne begéint ginn, zum Beispill, wann Dir eng multipoint verschlësselte Netzwierktopologie implementéiert (mat onofhängege séchere Verbindungen oder Tunnelen) oder selektiv Verschlësselung (zum Beispill duerch Protokollnummer oder VLAN). Wann an dësem Fall Netzwierkadressen (MAC, IP, VLAN ID) als Schlësselen an enger Tabell benotzt ginn, an där d'Zuel vun de Reihen limitéiert ass, da schéngen dës Restriktiounen hei.

Zousätzlech hu grouss Netzwierker dacks verschidde strukturell Schichten, dorënner de Kärnetz, jidderee vun deem säin eegene Adressschema a seng eege Routingpolitik implementéiert. Fir dës Approche ëmzesetzen, ginn speziell Frameformater (wéi Q-in-Q oder MAC-in-MAC) a Routingprotokoller dacks benotzt. Fir d'Konstruktioun vun esou Netzwierker net ze behënneren, mussen d'Verschlësselungsgeräter esou Frames korrekt handhaben (dat ass, an dësem Sënn, Skalierbarkeet bedeit Kompatibilitéit - méi doriwwer hei ënnen).

Flexibilitéit

Hei schwätze mir iwwer d'Ënnerstëtzung vu verschidde Konfiguratiounen, Verbindungsschemaen, Topologien an aner Saachen. Zum Beispill, fir geschalt Netzwierker baséiert op Carrier Ethernet Technologien, heescht dat Ënnerstëtzung fir verschidden Aarte vu virtuelle Verbindungen (E-Line, E-LAN, E-Tree), verschidden Zorte vu Service (souwuel duerch Port a VLAN) a verschidden Transporttechnologien (si schonn uewen opgezielt). Dat ass, den Apparat muss fäeg sinn a béid linear ("Point-to-Point") a Multipoint Modus ze bedreiwen, getrennten Tunnelen fir verschidde VLANs opzebauen an ausseruerdentlech Liwwerung vu Päck an engem séchere Kanal z'erméiglechen. D'Kapazitéit fir verschidde Chiffermodi ze wielen (och mat oder ouni Inhaltsauthentifikatioun) a verschidde Pakettransmissionsmodi erlaabt Iech e Gläichgewiicht tëscht Stäerkt a Leeschtung jee no aktuellen Konditiounen ze schloen.

Et ass och wichteg souwuel privat Netzwierker z'ënnerstëtzen, vun deenen d'Ausrüstung vun enger Organisatioun gehéiert (oder se gelount ass), wéi och Bedreiwernetzwierker, vun deenen verschidden Segmenter vu verschiddene Firmen geréiert ginn. Et ass gutt wann d'Léisung d'Gestioun souwuel intern wéi och vun enger Drëtt Partei erlaabt (mat engem verwalteten Servicemodell). An Bedreiwer Netzwierker ass eng aner wichteg Funktioun Ënnerstëtzung fir Multi-Tenancy (Deele vu verschiddene Clienten) a Form vun der kryptografescher Isolatioun vun eenzelne Clienten (Abonnenten), deenen hire Verkéier duerch deeselwechte Set vu Verschlësselungsapparater passéiert. Dëst erfuerdert typesch d'Benotzung vu getrennten Sätz vu Schlësselen an Certificaten fir all Client.

Wann en Apparat fir e spezifesche Szenario kaaft gëtt, da kënnen all dës Funktiounen net ganz wichteg sinn - Dir musst just sécherstellen datt den Apparat ënnerstëtzt wat Dir elo braucht. Awer wann eng Léisung "fir Wuesstum" kaaft gëtt fir och zukünfteg Szenarien z'ënnerstëtzen, an als "Firmenstandard" gewielt gëtt, da wäert d'Flexibilitéit net iwwerflësseg sinn - besonnesch wann Dir d'Restriktiounen op d'Interoperabilitéit vun Apparater vu verschiddene Verkeefer berücksichtegt ( méi iwwer dëst hei ënnen).

Einfachheet a Komfort

Einfachheet vum Service ass och e multifaktoriellt Konzept. Ongeféier kënne mir soen datt dëst d'Gesamtzäit ass, déi vu Spezialisten vun enger bestëmmter Qualifikatioun verbraucht gëtt fir eng Léisung a verschiddene Stadien vu sengem Liewenszyklus z'ënnerstëtzen. Wann et keng Käschten sinn, an d'Installatioun, d'Konfiguratioun an d'Operatioun sinn komplett automatesch, da sinn d'Käschte null an d'Bequemlechkeet ass absolut. Natierlech geschitt dat net an der realer Welt. Eng raisonnabel Approximatioun ass e Modell "Knuet op engem Drot" (Bump-in-the-wire), oder transparent Verbindung, an där Verschlësselungsgeräter addéieren an auszeschalten keng manuell oder automatesch Ännerunge vun der Netzkonfiguratioun erfuerderen. Zur selwechter Zäit ass d'Erhalen vun der Léisung vereinfacht: Dir kënnt d'Verschlësselungsfunktioun sécher ausschalten an ausschalten, a wann néideg, einfach den Apparat mat engem Netzkabel "bypass" (dat ass, direkt déi Ports vun der Netzwierkausrüstung verbannen, op déi et war verbonnen). Richteg, et gëtt een Nodeel - en Ugräifer kann datselwecht maachen. Fir de Prinzip "Node op engem Drot" ëmzesetzen, ass et néideg Rechnung ze huelen net nëmmen de Verkéier daten Layermee Kontroll a Gestioun Schichten - Apparater mussen transparent fir si sinn. Dofir kann esou Traffic verschlësselt ginn nëmme wann et keng Empfänger vun dësen Zorte vu Traffic am Netz tëscht de Verschlësselungsgeräter sinn, well wann et verworf oder verschlësselt gëtt, da wann Dir d'Verschlësselung aktivéiert oder deaktivéiert, kann d'Netzkonfiguratioun änneren. De Verschlësselungsapparat kann och transparent sinn fir kierperlech Schichtsignaléierung. Besonnesch wann e Signal verluer ass, muss et dëse Verloscht (dat heescht seng Sender ausschalten) zréck an zréck ("fir selwer") a Richtung Signal iwwerdroen.

Ënnerstëtzung bei der Divisioun vun der Autoritéit tëscht Informatiounssécherheet an IT Departementer, besonnesch dem Reseau Departement, ass och wichteg. D'Verschlësselungsléisung muss den Zougangskontroll- an Auditmodell vun der Organisatioun ënnerstëtzen. De Besoin fir Interaktioun tëscht verschiddenen Departementer fir Routine Operatiounen auszeféieren soll miniméiert ginn. Dofir gëtt et e Virdeel wat d'Bequemlechkeet ugeet fir spezialiséiert Geräter déi exklusiv Verschlësselungsfunktiounen ënnerstëtzen an sou transparent wéi méiglech fir Netzwierkoperatioune sinn. Einfach gesot, Informatiounssécherheetsbeamten sollten kee Grond hunn "Netzspezialisten" ze kontaktéieren fir Netzwierkastellungen z'änneren. An déi, am Tour, sollen net de Besoin hunn d'Verschlësselungsastellungen z'änneren beim Erhalen vum Netz.

En anere Faktor ass d'Fäegkeeten an d'Bequemlechkeet vun de Kontrollen. Si sollten visuell, logesch sinn, Import-Export vun Astellungen, Automatisatioun, asw. Dir sollt direkt oppassen op wéi eng Gestiounsoptioune verfügbar sinn (normalerweis hiren eegene Managementëmfeld, Webinterface a Kommandozeil) a wéi eng Set vu Funktiounen jidderee vun hinnen huet (et ginn Aschränkungen). Eng wichteg Funktioun ass Ënnerstëtzung aus-Band (out-of-Band) Kontroll, dat ass, duerch eng speziell Kontroll Reseau, an an der Band (In-Band) Kontroll, dat heescht duerch e gemeinsamt Netzwierk, duerch deen nëtzlechen Traffic iwwerdroe gëtt. Management Tools mussen all anormal Situatiounen signaliséieren, inklusiv Informatiounssécherheetsincidenten. Routine, repetitive Operatiounen sollen automatesch gemaach ginn. Dëst bezitt sech haaptsächlech op Schlësselmanagement. Si sollen automatesch generéiert / verdeelt ginn. PKI Support ass e grousse Plus.

Onbedenklechkeet

Dat ass, d'Kompatibilitéit vum Apparat mat Netzwierknormen. Desweideren heescht dat net nëmmen industriell Standarden adoptéiert vun autoritär Organisatiounen wéi IEEE, mä och propriétaire Protokoller vun Industrie Cheffen, wéi Cisco. Et ginn zwou Haapt Weeër fir Kompatibilitéit ze garantéieren: entweder duerch Transparenz, oder duerch explizit Ënnerstëtzung Protokoller (wann e Verschlësselungsapparat ee vun den Netzwierkknoten fir e bestëmmte Protokoll gëtt an de Kontrollverkéier vun dësem Protokoll veraarbecht). Kompatibilitéit mat Netzwierker hänkt vun der Vollständegkeet an der Richtegkeet vun der Ëmsetzung vu Kontrollprotokoller of. Et ass wichteg fir verschidden Optiounen fir den PHY Niveau z'ënnerstëtzen (Geschwindegkeet, Iwwerdroungsmedium, Kodéierungsschema), Ethernet Frames vu verschiddene Formater mat all MTU, verschidde L3 Serviceprotokoller (haaptsächlech d'TCP/IP Famill).

Transparenz ass gesuergt duerch d'Mechanismen vun der Mutatioun (temporär Ännerung vum Inhalt vun oppenen Header am Traffic tëscht Verschlësseler), Sprangen (wann eenzel Pakete onverschlësselt bleiwen) an Indentatioun vum Ufank vun der Verschlësselung (wann normalerweis verschlësselte Felder vu Pakete net verschlësselt sinn).

Wéi bewäerten a vergläichen Ethernet Verschlësselungsgeräter
Wéi Transparenz assuréiert

Dofir kontrolléiert ëmmer genau wéi Ënnerstëtzung fir e bestëmmte Protokoll gëtt. Oft Ënnerstëtzung am transparenten Modus ass méi praktesch an zouverlässeg.

Interoperabilitéit

Dëst ass och Kompatibilitéit, awer an engem anere Sënn, nämlech d'Fäegkeet fir mat anere Modeller vu Verschlësselungsgeräter zesummen ze schaffen, och déi vun aneren Hiersteller. Vill hänkt vum Stand vun der Standardiséierung vu Verschlësselungsprotokoller of. Et gi einfach keng allgemeng akzeptéiert Verschlësselungsnormen op L1.

Et gëtt en 2ae (MACsec) Standard fir L802.1 Verschlësselung op Ethernet Netzwierker, awer et benotzt net Enn-zu-Enn (Enn-zu-Enn), an interport, "Hop-by-Hop" Verschlësselung, a senger ursprénglecher Versioun ass net gëeegent fir an verdeelt Netzwierker ze benotzen, sou datt seng propriétaire Extensiounen erschéngen, déi dës Begrenzung iwwerwannen (natierlech wéinst der Interoperabilitéit mat Ausrüstung vun aneren Hiersteller). True, am Joer 2018 gouf Ënnerstëtzung fir verdeelt Netzwierker zum 802.1ae Standard bäigefüügt, awer et gëtt nach ëmmer keng Ënnerstëtzung fir GOST Verschlësselungsalgorithmus Sets. Dofir ënnerscheede propriétaire, net-Standard L2 Verschlësselungsprotokoller, als Regel, méi Effizienz (besonnesch méi niddereg Bandbreedung) a Flexibilitéit (d'Fäegkeet fir Verschlësselungsalgorithmen a Modi z'änneren).

Op méi héijen Niveauen (L3 a L4) ginn et unerkannt Standarden, virun allem IPsec an TLS, awer och hei ass et net sou einfach. D'Tatsaach ass datt jiddereng vun dësen Standarden eng Rei vu Protokoller ass, jidderee mat verschiddene Versiounen an Extensiounen erfuerderlech oder fakultativ fir d'Ëmsetzung. Zousätzlech léiwer e puer Hiersteller hir propriétaire Verschlësselungsprotokoller op L3 / L4 ze benotzen. Dofir, an de meeschte Fäll sollt Dir net op komplett Interoperabilitéit zielen, awer et ass wichteg datt op d'mannst Interaktioun tëscht verschiddene Modeller a verschiddene Generatioune vum selwechte Fabrikant gesuergt ass.

Zuverlässegkeet

Fir verschidde Léisungen ze vergläichen, kënnt Dir entweder mëttlerer Zäit tëscht Feeler oder Disponibilitéitsfaktor benotzen. Wann dës Zuelen net verfügbar sinn (oder et gëtt kee Vertrauen an hinnen), da kann e qualitative Verglach gemaach ginn. Geräter mat bequemer Gestioun hunn e Virdeel (manner Risiko vu Konfiguratiounsfehler), spezialiséiert Verschlësseler (aus deemselwechte Grond), souwéi Léisunge mat minimaler Zäit fir e Feeler z'entdecken an ze eliminéieren, inklusiv Mëttel fir "waarm" Backup vu ganzen Wirbelen an Apparater.

Käschte vun

Wann et ëm d'Käschte geet, wéi mat de meeschten IT-Léisungen, ass et Sënn fir d'Gesamtkäschte vum Besëtz ze vergläichen. Fir et ze berechnen, musst Dir d'Rad net nei erfannen, awer all gëeegent Methodik benotzen (zum Beispill vu Gartner) an all Rechner (Zum Beispill deen deen schonn an der Organisatioun benotzt gëtt fir TCO ze berechnen). Et ass kloer datt fir eng Netzwierkverschlësselungsléisung d'Gesamtkäschte vum Besëtz besteet aus direkt Käschten fir d'Léisung selwer ze kafen oder ze lounen, Infrastruktur fir d'Hostingausrüstung an d'Käschte vum Détachement, Administratioun an Ënnerhalt (egal ob intern oder a Form vun Drëtt-Partei Servicer), wéi och vun indirekten Käschten aus der Léisungsstoppzäit (verursaacht duerch Verloscht vun Endverbraucher Produktivitéit). Et gëtt wahrscheinlech nëmmen eng Subtilitéit. D'Performance Impakt vun der Léisung kann op verschidde Manéieren considéréiert ginn: entweder als indirekte Käschte verursaacht duerch verluer Produktivitéit, oder als "virtuell" direkt Käschte vum Kaf / Upgrade an Ënnerhalt vun Netzwierkinstrumenter, déi de Verloscht vun der Netzwierkleistung wéinst der Benotzung vun Verschlësselung. Op jidde Fall sinn d'Ausgaben, déi schwéier mat genuch Genauegkeet ze berechnen sinn, am beschten aus der Berechnung gelooss: sou gëtt et méi Vertrauen an de Schlusswäert. A wéi gewinnt, op alle Fall, mécht et Sënn fir verschidden Apparater duerch TCO fir e spezifesche Szenario vun hirem Gebrauch ze vergläichen - real oder typesch.

Haltbarkeet

An déi lescht Charakteristik ass d'Persistenz vun der Léisung. An deene meeschte Fäll kann d'Haltbarkeet nëmme qualitativ bewäert ginn andeems verschidde Léisunge vergläicht. Mir mussen drun erënneren datt Verschlësselungsapparater net nëmmen e Mëttel sinn, awer och e Schutzobjekt. Si kënnen u verschidde Gefore ausgesat sinn. Am Virdergrond sinn d'Gefore vu Verstouss géint d'Vertraulechkeet, d'Reproduktioun an d'Ännerung vun de Messagen. Dës Bedrohungen kënnen duerch Schwachstelle vum Chiffer oder sengen individuellen Modi realiséiert ginn, duerch Schwachstelle bei Verschlësselungsprotokoller (och an de Stadien vun der Verbindung an der Generatioun / Verdeelung vun Schlësselen). De Virdeel ass fir Léisungen, déi et erlaben de Verschlësselungsalgorithmus z'änneren oder de Chiffermodus z'änneren (op d'mannst duerch e Firmware Update), Léisungen déi déi komplettst Verschlësselung ubidden, verstoppt vum Angreifer net nëmmen Benotzerdaten, awer och Adressen an aner Serviceinformatiounen , wéi och technesch Léisungen, déi net nëmmen verschlësselen, awer och Messagen vu Reproduktioun a Modifikatioun schützen. Fir all modern Verschlësselungsalgorithmen, elektronesch Ënnerschrëften, Schlësselgeneratioun, asw., déi an Normen verankert sinn, kann d'Kraaft ugeholl ginn datt se déiselwecht sinn (soss kënnt Dir einfach an der Wilds vun der Kryptografie verluer goen). Sollen dës onbedéngt GOST Algorithmen sinn? Alles ass einfach hei: wann d'Applikatioun Szenario FSB Zertifizéierung fir CIPF erfuerdert (an a Russland ass dat meeschtens de Fall; fir déi meescht Netzwierkverschlësselungsszenarien ass dat richteg), da wielt mir nëmmen tëscht zertifizéierten. Wann net, dann ass et kee Sënn fir Geräter ouni Zertifikater auszeschléissen.

Eng aner Bedrohung ass d'Drohung vum Hacking, onerlaabten Zougang zu Geräter (och duerch kierperlechen Zougang dobaussen an am Fall). D'Drohung kann duerchgefouert ginn
Schwachstelle bei der Implementatioun - an Hardware a Code. Dofir, Léisunge mat enger minimaler "Attackfläch" iwwer d'Netzwierk, mat Uschloss geschützt vu kierperlechen Zougang (mat Abrochsensoren, Probeschutz an automatesche Reset vu Schlësselinformatioun wann d'Uschloss opgemaach gëtt), wéi och déi, déi Firmware-Aktualiséierungen erlaben. e Virdeel am Fall wou eng Schwachstelle am Code bekannt gëtt. Et gëtt eng aner Manéier: wann all d'Apparater, déi vergläicht ginn, FSB-Zertifikater hunn, da kann d'CIPF-Klass, fir déi den Zertifika ausgestallt gouf, als Indikator vu Resistenz géint Hacking ugesi ginn.

Schlussendlech ass eng aner Zort Bedrohung Feeler beim Setup an der Operatioun, de mënschleche Faktor a senger purster Form. Dëst weist en anere Virdeel vu spezialiséierte Verschlësseler iwwer konvergéiert Léisungen, déi dacks op erfuerene "Netzspezialisten" geriicht sinn a Schwieregkeete fir "gewéinlech", allgemeng Informatiounssécherheetsspezialisten verursaachen.

Ze summéieren

Prinzipiell wier et méiglech, eng Aart vun integralen Indikator ze proposéieren fir verschidden Apparater ze vergläichen, wéi

$$display$$K_j=∑p_i r_{ij}$$display$$

wou p ass d'Gewiicht vun der Luucht, an r ass de Rang vun der Apparat no dësem Luucht, an all vun de Charakteristiken uewen opgezielt kann an "atomarer" Indicateuren ënnerdeelt ginn. Esou eng Formel kéint nëtzlech sinn, zum Beispill, wann Dir Ausschreiwungsvirschléi no viraus ausgemaache Reegelen vergläicht. Mä Dir kënnt mat engem einfachen Dësch wéi

Charakteristiken
Apparat 1
Apparat 2
...
Apparat N

Duerchgang
+
+

+++

Overheads
+
++

+++

Verzögerung
+
+

++

Skalierbarkeet
+++
+

+++

Flexibilitéit
+++
++

+

Interoperabilitéit
++
+

+

Onbedenklechkeet
++
++

+++

Einfachheet a Komfort
+
+

++

Feeler Toleranz
+++
+++

++

Käschte vun
++
+++

+

Haltbarkeet
++
++

+++

Ech äntweren frou Froen a konstruktiv Kritik.

Source: will.com

Setzt e Commentaire